Дыра в Яндексе, которая позволяет атаковать и убивать позиции сайтов, все еще не закрыта.
Сегодня расскажу:
о неравной борьбе клиентского сайта со злодеями, которые неоднократно подводили его под санкции;
- как из-под них выйти;
- почему многие сайты в зоне риска;
- как определить атаку или накрутку поведенческих факторов (ПФ) и защититься (правда ненадежно).
Весной 2020 года начались трудные дни у накрутчиков ПФ. Сайты стали массово попадать под санкции Яндекса — полная потеря позиций и трафика. Если прочитать стенания накрутчиков на черных форумах, где покупались простейшие решения для вывода сайтов, можно увидеть, что совсем простые схемы перестали работать. И это открыло портал в ад… Уже к началу лета в профессиональном сообществе стали появляться сообщения, что под санкции попали сайты, которым ни оптимизаторы, ни владельцы ПФ не крутили, но на которых точно ходили боты от сторонних накрутчиков. Одним из таких пострадавших стал клиент «Скобеев и Партнеры».
Раунд Первый: злодей отправляет клиента в нокдаун
Как это выглядело?
В конце марта 2020 года внезапно начал сильно расти поисковый трафик. Он увеличился примерно в 4 раза:
При этом посмотрим, что было с роботностью (количеством зашедших ботов — не людей — на сайт)?
Роботность взлетела с 10% (это само по себе уже красная зона) до 40-50%. Как минимум, каждый второй посетитель определялся как бот.
Чтобы определить показатель роботности у себя, сразу под графиком в Яндекс.Метрике в отчете «Источники, сводка» кликните на кнопку «Метрики» и в поиске найдите «Роботность». Так вы увидете уровень роботности по источникам.
Обратите внимание, что сайт при этом атаковали с разных сторон:
Столь агрессивная накрутка привела к полному падению позиций. Выглядело это как постепенное угасание:
Посмотрим на данные, взятые за неделю, когда был пик переходов с поиска:
В итоге безумное количество переходов с поиска по НЧ запросам, осознанно низкое время на сайте (не более секунды), высочайший уровень отказов и, как следствие, высокая роботность.
Почему мы считаем, что действовал злоумышленник?
Рассуждаем от противного, исключая две другие версии:
Версия №1. Нагул ботов. Роботы ходят по конкретному сайту не специально, а нагуливают историю куки, чтобы выглядеть естественнее. Наверное, сейчас нет сайтов где бы не ходили боты.
Аргументы против:
- для естественности роботы будут проводить чуть больше времени на сайте, чтобы сделать свой профиль ближе к реальным пользователям;
- гуляющие боты не делают статистически значимое количество переходов, а тут мы наблюдаем рост в 4 раза!
Версия №2. Оптимизаторы/клиент сами накручивают ПФ.
Аргументы против:
- Одна секунда на сайте, почти 100% отказов: так никто себя не накручивает;
- кликать себе по контекстной рекламе?
Доказательство осознанности злоумышленника:
- во время второй атаки злодей использует переходы по запросам с вхождением телефона конкурента. Это либо сам конкурент, либо тот, кто его подставляет;
- клиентский сайт атаковали после переноса (см. ниже) на другом домене.
Что делают оптимизаторы, когда видят санкции и знают, что сайт чист? Правильно, начинают переписку с Яндексом, которая, правильно, ни к чему не приводит.
Итак, злоумышленник победил :(
Раунд Второй: мы отбиваемся
Тогда был задействован запасной план.
План Б: чтобы быстро вывести сайт из-под санкций, нужно его переклеить на другой домен.
Как это делается: 301 редирект со старого домена на новый и переклейка внутри панели Вебмастера Яндекса.
Срок: от 3 дней до 3 недель.
Кажется, все прекрасно. Однако злодей продолжает отслеживать проект и наносит следующий удар.
Раунд Третий: злодей наносит ответный удар
В этот раз противник решил налить трафика не в 3-4 раза, а более чем в 10 раз! Это привело к потере позиций и почти полному (кроме роботного) падению поискового трафика:
Точка отсчета в начале графика — это условно естественный трафик до накрутки. Дальше атакует злодей.
Оцените силу накрутки — для сравнения взяли пиковую неделю атаки по НЧ запросам (ранее по ним же могло не быть ни одного перехода в неделю).
Позиции стали немедленно проседать и полностью выпали к концу декабря.
В итоге злодей празднует не только Новый год, но и свою победу!
Раунд Четвертый: новая надежда
Мы решили купить третий домен и перенести сайт туда.
Позиции начали восстанавливаться, но уже не так, как ранее. Правда, на сайте еще много работ нужно провести под YATI, поэтому допускаем, что он еще отстал и от требований Яндекса.
Вот так выглядит трафик. Бедненько? Зато честно.
Уровень роботности на приемлемом уровне:
Раунд Пятый? Пока злодей не проявился
Чего ожидать дальше? Думаем, что, если сайт будет подвергнут атаке, он снова все потеряет. Яндекс не защитит.
Кому стоит бояться?
Не всем сайтам следует бояться атак злодеев.
Особенность данного проекта — почти полное отсутствие собственного трафика и слабое развитие сайта. Когда проект пришел к нам на продвижение, позиций не было вообще. Первой атаке он подвергся тогда, когда у него естественные позиции в ТОП-10 были от силы на протяжении 2 месяцев.
Ваш сайт в зоне риска, если у него:
- маленький собственный трафик (до 3-5 тысяч в месяц);
- низкая вовлеченность пользователей;
- проект еще молодой.
Почему вы можете не увидеть ботов?
Яндекс.Метрика редко может показать роботов на сайте с десятками и сотнями тысяч посетителей в месяц. Если у вас большой проект и вы подвергнитесь атаке, скорее всего, боты даже не определятся. Хотя, возможно, у нас просто мало опыта. Если у вас от 5 тысяч посетителей в день, и вы видите роботов, и, тем более, подвергаетесь атаке, отпишитесь, пожалуйста, здесь.
Подробнее о накрутке ПФ можно посмотреть:
Резюмирую
Чтобы не потерять трафик и клиентов из Яндекса:
- Регулярно проверяйте есть ли атаки роботов на ваш сайт с поиска или иных источников.
- В случае атаки пробуйте разные способы (нет идеальных) бана этих роботов.
- Готовьте план Б. Если домен попал под санкции, то переезжайте на другой.
Буду рад, если общими стараниями усилим этот материал. Пишите комментарии и приводите примеры.
Удачи вам в нашем нервном труде!
Поменяйте счетчик в Яндекс метрике. Установите счетчик через Гугл Таг Менеджер. И сам счетчик, и его номер, больные на голову накрутчики не будут видеть. А если в коде сайта номер счетчика виден, то счетчик с Вашим номером могут куда угодно установить, и он будет работать. Хотя в настройках счетчика надо устанавливать галочку в графе "Принимать данные только с указанных адресов".
Из Таг менеджера можно запускать счетчик после загрузки страницы, и с задержкой. Можно запускать после события "скролл". Боты редко умеют скролить, реальные посетители сразу скролят. При отсутствии нашествия роботов и ботов при запуске счетчика после скролла посещаемость снижается примерно на 10%.
Тем самым для метрики увеличится скорость загрузки страница и уменьшится время на сайте? Отрицательно повлияет на ПФ?
На пару секунд время на сайте уменьшается. Но, посетители сайта с низкой скоростью интернета будут повторно приходить на ваш сайт, он станет комфортнее для них. Показатели скорости по speed/pagespeed/insights улучшаться, в выдаче гугл сайт лучше будет показываться.
А если счетчики в самом низу, имеет смысл?
Я пробовал и вверху ставить счетчик, и внизу. Все равно он блокирует основной поток. Если ставить счетчик Яндекса с задержкой, то его тормозящее действие сильно уменьшается.
При использовании любого метода установки с задержкой есть такая неприятность - при маленьком трафике значок счетчика загорается красным, типа счетчик не найден. Но он все равно считает посетителей.
Можно сделать показатели pagespeed 90/99, отложив загрузку рекламных баннеров, счетчика, социальных кнопок на 1,.5 - 2,5 секунды. А First Input Delay (FID) - задержка первого ввода будет 200 мс, и надпись "Origin Summary: Согласно данным наблюдений за последние 28 дней сводная оценка всех страниц из этого источника не отвечает требованиям к основным интернет-показателям."
Сайт начинает жить двойной жизнью:
1. Вначале загружается то, что требуется для хороших показателей pagespeed,
2. Потом загружается все остальное (реклама, счетчики, социальные кнопки, чаты и прочее.
В результате показатели скорости хорошие, а сайт плохо реагирует на действия пользователей. В консоли инструмента разработчика гугл хром видны кучи замечаний типа: " [Violation] Added non-passive event listener to a scroll-blocking 'touchstart' event. Consider marking event handler as 'passive' to make the page more responsive", то есть "[Нарушение] Добавлен не пассивный прослушиватель событий к событию "touchstart", блокирующему прокрутку. Подумайте о том, чтобы пометить обработчик событий как "пассивный", чтобы сделать страницу более отзывчивой". В основном портят все впечатление о сайте скрипты https://yastatic.net/ - оттуда скачиваются огромные библиотеки.
Работа с пассивными прослушивателями при ускорении сайта очень сложная. Сложнее, в разы, чем все остальное вместе взятое. Pagespeed может не указывать эту ошибку, но в консоли разработчика (вызывается в гугл хром кнопкой f12, после нее желательно обновить страницу все эти ошибки видны.